미래의 소프트웨어 책임: 소프트웨어 벤더가 확대되는 책임에 대비할 방법

통찰력 May 08, 2023
BlogHeroImage

저는 베리타스의 최고 정보 보안 책임자(CISO)로서, 갈수록 발전하는 소프트웨어 보안 환경과 더욱 커지는 소프트웨어 벤더의 책임에 주목합니다. 사이버 공격이 점점 더 빈번해지고 지능화하는 세상에서 소프트웨어 벤더는 기능적이고 효율적인 제품을 제공할 뿐만 아니라 관련 보안 및 레질리언스까지 보장해야 합니다.

저와 함께 미래의 소프트웨어 책임에 관해 생각하면서 각 벤더가 이 중요한 분야에서 확대되는 책임에 대비하는 방법을 모색해보시기 바랍니다.

 

달라지는 소프트웨어 책임과 그 영향

과거에는 소프트웨어 벤더에게 제품의 보안 위반 또는 결함에 관한 책임을 거의 묻지 않았습니다. 그러나 디지털 기술에 대한 의존도가 높아지고 사이버 공격이 기업과 개인에 더 큰 영향을 미치면서 분위기가 바뀌고 있습니다. 규제 당국과 입법 기관은 이제 소프트웨어 벤더에 제품 보안에 관한 더 큰 책임을 부여하는 것을 고려합니다. 이미 미국에서는 최근 발표된 바이든 행정부의 국가 사이버 보안 전략(National Cybersecurity Strategy)을 통해 소프트웨어 제품 및 서비스에 대한 책임을 그 개발자에게 분명히 부여하면서 안전한 개발 프랙티스를 지지하는 등 진일보한 모습을 보여주고 있습니다.

이처럼 달라지는 책임은 소프트웨어 벤더에 다음과 같이 영향을 미칠 수 있습니다.

  1. 소프트웨어 벤더의 책임 확대: 소프트웨어 책임을 부여받은 소프트웨어 벤더는 해당 소프트웨어가 안전하고 필요한 품질 기준에 부합함을 더 철저히 확인해야 합니다.
  2. 소프트웨어 품질 향상: 소프트웨어 책임의 변화는 소프트웨어 벤더가 소프트웨어 품질을 개선하고 잠재적 결함 및 보안 취약점을 줄이도록 동기를 부여할 수 있습니다.
  3. 소프트웨어 벤더의 비용 증가: 소프트웨어 책임을 맡게 된 소프트웨어 벤더가 소프트웨어의 안전 및 무결성을 입증하기 위해 테스트, 품질 보증, 보안 조치에 더 많이 투자하면서 비용 부담이 커질 수 있습니다.
  4. 소프트웨어 계약 및 보증 변화: 벤더는 소프트웨어 결함으로 인한 잠재적인 소송 및 손해로부터 스스로를 보호해야 하므로, 소프트웨어 계약 및 보증의 변경이 필요해질 수 있습니다.
  5. 소프트웨어에 대한 신뢰도 상승: 소프트웨어 책임의 변화로 엔드유저가 소프트웨어를 더 신뢰할 수 있습니다. 엔드유저도 소프트웨어 벤더가 결함이나 취약점으로 인한 각종 손해에 대해 책임을 져야 함을 알고 있기 때문입니다.
  6. 법률 환경의 변화: 사법부와 입법부가 새로운 책임 규정에 적응하면서 법률 환경의 변화로 이어질 수 있습니다.

결국 소프트웨어 책임의 변화는 소프트웨어 벤더, 엔드유저, 법률 제도에까지 중대한 영향을 미칠 수 있습니다. 이는 소프트웨어 벤더가 소프트웨어 품질을 개선하고 소프트웨어에 대한 신뢰도를 높이는 계기가 될 수 있지만, 다른 한편으로는 비용 상승 및 소프트웨어 계약/보증의 변화를 수반할 수 있습니다. 따라서 각자의 구체적인 니즈 및 리스크 허용 수준에 따라 소프트웨어 책임을 이행할 최상의 방법을 결정하는 것은 각 벤더의 몫입니다.

 

안전한 소프트웨어를 개발하려는 벤더를 위한 조언

안전한 소프트웨어 애플리케이션을 개발하는 데 도움이 될 10가지 베스트 프랙티스를 소개합니다.

 

  • 위협 모델링: 어떤 시스템이나 애플리케이션의 잠재적인 보안 약점을 사전에 식별하고 조치하여 공격자가 악용하기 전에 해결합니다. 여기에는 애플리케이션의 설계, 구성 또는 구현에서 약점을 찾아내 해결하는 것은 물론 잠재적인 공격 경로를 식별하고 이러한 리스크를 완화하기 위한 적절한 보안 제어를 구현하는 것도 포함될 수 있습니다.
  •  보안 코딩: 보안과 레질리언스를 모두 갖춘 애플리케이션을 개발하기 위한 필수 조건입니다. 입력 유효성 검사, 인증 및 권한 부여, 보안 통신, 오류 처리, 액세스 제어, 보안 구성, 보안 코딩 프랙티스와 같은 핵심 요소를 갖춰야 합니다.
  • SBOM(Software Bill of Materials Management): SBOM, 즉 소프트웨어 BOM은 타사 라이브러리, 프레임워크, 기타 종속성을 비롯해 특정 소프트웨어 애플리케이션이나 시스템을 이루는 모든 구성 요소를 인벤토리화한 것입니다. SBOM은 소프트웨어 개발의 필수 구성 요소입니다. 타사 구성 요소 및 종속성과 관련된 잠재적 취약점과 리스크를 식별하고, 업계 규정 및 표준에 대한 컴플라이언스를 보장하며, 개발 팀과 기타 이해 관계자 간의 협업과 소통을 강화하는 데 도움이 되기 때문입니다. SBOM에 투자하는 기업은 공급망의 리스크 관리를 개선하고 보안 위반 리스크를 줄이며 오픈 소스 라이센스 요건에 대한 컴플라이언스를 보장할 수 있습니다.

  • 코드 검토: 개발 라이프사이클의 초기에 잠재적 보안 취약점을 찾아냅니다. 그러면 해당 소프트웨어나 애플리케이션이 구축되기 전에 해결할 수 있습니다. 이는 통합 보안 테스트 및 보증 전략의 중요한 부분입니다.

 

  • 침입 테스트: 통합 보안 테스트 및 보증 전략의 핵심 구성 요소로, 다음과 같은 여러 중요한 이점을 제공합니다.

       A. 잠재적 취약점 식별

       B. 공격 경로에 관한 인사이트 제공

       C. 보안 태세 강화

       D. 컴플라이언스 요건 이행

       E. 리스크 완화, 보안 위반 영향 최소화

 

  • 보안 구성 관리: 소프트웨어 시스템 및 애플리케이션의 구성을 관리하면서 일반적인 보안 취약점 및 약점을 방지하도록 올바르게 구성하고 강화하는 프로세스입니다. 여기에는 시스템 구성에 관한 보안 정책 및 베스트 프랙티스를 설정하고 적용하는 것이 포함됩니다. 보안 구성 관리는 다음과 같은 핵심 요소를 포함해야 합니다.

      A. 표준 구성

      B. 변경 관리

      C. 보안 제어

      D. 취약점 관리

      E. 패치 관리

  • 액세스 제어: 중요 데이터, 기능, 리소스에 대한 액세스는 권한이 있는 사용자 또는 시스템에만 허용합니다.
  • 보안 교육: 개발자가 보안 소프트웨어를 빌드하고 보안 위반 리스크를 줄이는 데 필요한 기술과 지식을 습득하도록 지원합니다. 보안 교육에 투자하는 벤더는 해당 소프트웨어의 보안 태세를 강화하고 보안 위반의 리스크를 줄이며 개발 팀에 보안 의식의 문화가 자리잡게 할 수 있습니다.

  • 사고 대응: 소프트웨어 시스템/애플리케이션의 보안 사고와 취약점을 식별, 조사하고 대응하는 것을 과정이 포함된 소프트웨어 개발에서는 무엇보다 사고 대응 프로세스가 명확하게 정의되어야 합니다.

  •  상시 모니터링: 시스템 로그, 네트워크 트래픽, 사용자 행동을 계속 모니터링하면서 보안 취약점이나 보안 위반의 징후가 있는지 확인합니다.

이러한 베스트 프랙티스는 만일의 보안 위협 및 취약점을 차단할 안전하고 신뢰할 만한 소프트웨어 애플리케이션을 개발하는 데 도움이 될 수 있습니다. 무단 액세스를 방지하고 중요 데이터를 보호하기 위해 소프트웨어 개발의 모든 단계에서 보안을 우선 순위에 두는 것이 중요합니다.

 

결론

미래의 소프트웨어 책임 환경에서는 소프트웨어 벤더가 새로운 과제와 의무를 이행해야 합니다. 이러한 책임을 받아들이고 제품의 보안을 강화할 선제적 조치를 취하는 벤더는 잠재적 리스크를 최소화할 뿐만 아니라 고객과 사용자를 보호하는 데 최선을 다하고 있음을 입증할 수 있습니다.

벤더는 SDLC, 위협 모델링, SBOM 관리 등을 구현하고 직원 교육과 보안 의식 제고에 투자함으로써 더 안전하고 레질리언스도 뛰어난 소프트웨어를 출시할 수 있습니다. 또한 보안 조치에 관한 투명성을 보장하고 보안 커뮤니티와 협업하면서 제품 보안에 관한 신뢰를 강화할 수 있게 됩니다.

이처럼 진화하는 환경에서 모두에게 더 안전한 디지털 세상을 만드는 데 함께하도록 여러분을 초대합니다. 서로 지식과 전문성을 공유하면서 소프트웨어 보안의 기준을 높이고 디지털 생태계를 위한 더 안전한 미래를 만들 수 있습니다.

모두 협력하여 소프트웨어 책임 확대의 과제를 수용하고 변화하는 환경에 적응하면서 고객과 사용자의 니즈에 부합하는 안전하고 신뢰할 만한 혁신적인 솔루션을 상시 제공할 수 있습니다.

서둘러 귀사의 사이버 보안 태세를 강화할 때입니다. 강력한 사이버 레질리언스 계획을 수립하는 데 베리타스가 어떤 도움을 줄 수 있는지 사이버 레질리언스 페이지에서 확인하십시오.

blogAuthorImage
Christos Tulumba
최고 정보 보안 책임자